Appleは、iPhone、Mac、iPadのゼロデイ脆弱性を修正するセキュリティアップデートをリリースした。
Appleはアドバイザリーの中で、CVE-2023-37450として追跡されるWebKitの脆弱性について説明し、今月初めにRapid Security Response (RSR)アップデートの新たなラウンドで対処されたと述べた。
今回パッチされたもう 1 つのゼロデイ脆弱性は、CVE-2023-38606 として追跡される新しいカーネルの脆弱性で、古いバージョンの iOS を実行しているデバイスを対象としています。
Apple は次のように述べています: この脆弱性が iOS 15.7.1 より前にリリースされた iOS のバージョンで積極的に悪用された可能性があるという報告を認識しています。
攻撃者は、パッチが適用されていないデバイス上でこれを悪用して、機密性の高いカーネル状態を変更する可能性があります。Apple は検査と状態管理を改善することで両方の脆弱性を修正しました。
Kaspersky GReAT の主任セキュリティ研究員である Boris Larin 氏によると、CVE-2023-38606 は、iMessage 経由で iPhone に Triangulation スパイウェアを展開するために使用されるゼロクリック エクスプロイト チェーンの一部です。
同社はまた、tvOS 16.6およびwatchOS 9.6を実行するデバイスに対して、5月に修正されたゼロデイ脆弱性(CVE-2023-32409)に対するセキュリティパッチを返却した。
Apple は、境界チェック、入力検証、メモリ管理を改善することで、macOS Ventura 13.4、iOS および iPadOS 16.5、tvOS 16.5、watchOS 9.5、Safari 16.5 の 3 つのゼロデイ脆弱性に対処しました。
今回修正された2件のゼロデイ脆弱性は、iPhoneやiPadの各種モデルに加え、macOS Big Sur、Monterey、Venturaを搭載したMacを含む幅広いデバイスに影響を与える。
今年修正された 11 件目のゼロデイ脆弱性
今年の初め以来、Apple は攻撃者によって悪用された 11 件のゼロデイ脆弱性を修正しました。
今月初め、Apple は iPhone、Mac、iPad に影響を与える脆弱性 (CVE-2023-37450) を修正するための Rapid Security Response (RSR) アップデートをリリースしました。
しかし、RSR アップデートにより一部のサイトで Web 閲覧ができなくなったため、同社は 2 日後にこのバグのパッチを適用したバージョンをリリースしました。
これに先立って、Apple は次の点も修正しました。
6 月に発生した 3 つのゼロポイント脆弱性 (CVE-2023-32434、CVE-2023-32435、および CVE-2023-32439)
5 月にはさらに 3 つのゼロポイント脆弱性 (CVE-2023-32409、CVE-2023-28204、および CVE-2023-32373) が解決されました。
4 月に 2 つのゼロデイ脆弱性 (CVE-2023-28206 および CVE-2023-28205)
2 月には WebKit の別のゼロデイ脆弱性 (CVE-2023-23529) が発見されました。
ゼロデイ脆弱性は合計 11 件。